真實世界與虛擬國度的叛客

背叛？謊言？你的隱私值多少?（上）

2008-05-10T12:06:00.025+08:00

　　昨天在媒體上看到一篇安全廠商公佈的報告＂你被偷的資料值多少錢？＂主要在描述該廠商的研究單位發現有關於被非法取得的個人資料的價值與其行情表。該篇文章的原始網址如下：http://www.zdnet.com.tw/news/web/0,200
0085679,20129236,00.htm。

這樣的一份報告有人初看到嘖嘖稱奇、有人說價目表只有國外部份，台灣應該沒有這樣的問題，也有人說又不是我願意，我能怎麼辦？

　　不管你看到新聞後的觀點如何？都有幾個面相與迷思值得討論，但是更重要的是，或許你會想問台灣：沒有類似的隱私行情表呢？

　　你的資料值多少錢？這個問題自古以來一直沒有標準答案，大約一年半以前，叛客因為研究上需要，自己針對"非自願流出個人隱私資料的價值"做了個小小的調查與實驗，答案其實比國外的結果更令人咋舌；透過關係我找到ㄧ家＂號稱＂資料準確度達99％的行銷公司，沒錯！我們的個人資料就是被這樣＂光明正大＂的被待價而沽；首先對方透過網路與我聯繫（根據他的說法，他們從事這樣的行業為了安全與隱私因此除非必要不然一律不親自見面。安全與隱私？與他販售的資料相比較，聽起來格外諷刺），對方寄給我以下的各式個資清單（請見以下附圖）

　　各式各樣有關於你我的個人資料，就這樣赤裸裸的呈現在眼前，我用紅線標出了我所需要的項目要求進一步的資料（我所指定的都是相當敏感或是特定標的物的資料）；對方馬上回應說我是內行人，這些資料保證物超所值。因此又口述了以下的價目行情給我；

雖然昨天判客企圖在聯繫這個廠商時，她已經完全失聯而無法驗證目前最新的行情與資料狀況。

　　價格的高低並不代表個人隱私資料遭外洩販賣的行為是不存在，或是不具經濟規模；從以上資料販售的模式分類之精準、定價切割之細，你不難想像這些販售隱私行為的範圍與深度有多驚人。從一個笑話可以看出這種分類的嚴謹度，那就是大多數男性朋友都會接到的＂半、全套情色電話＂，各位稍微注意一下你就會發現，幾乎不會有女性朋友接到這樣的電話，為什麼？並非他運氣特別好，而是所外洩的資已經可以精準分類到這樣的程度，或許資料採礦（Data Mining)運作最成熟與成功的反而是這樣的非法集團與犯罪份子吧。

如果說新聞報導中的發現是國外最新的研究，那麼我必須說，其實台灣在這方面的管銷模式，說不定已經跟國外並駕齊驅，亦或者是更進步且完整。

　　所以，誰說台灣沒有隱私銷售行情表？只要你有錢（還不用是很多錢喔！），其他人的隱私與個資馬上變成有心人士的祭品，任人宰割。說到此我不禁擔心自己的隱私與個人資料到底流出了多少？你也跟我一樣擔心自己難以掌控的隱私嗎？

資安代理大廠首頁被駭事件隱藏的涵義

2008-05-08T10:46:00.013+08:00

以上圖片為XSS漏洞攻擊原理，攻擊影響說明請參閱本文附註；圖片轉載自
http://ha.ckers.org/blog/20060718/attacking-applications-via-xss-proxies/

代理銷售多款知名資安產品的精誠資訊，昨天被發現網站在跨站指令碼攻擊(Cross-Site Scripting, XSS)漏洞，並遭植入惡意連結；被國際XSS漏洞通報網站「XSSed」通報以及國內「大砲開講」披露（詳細完整新聞請見以下：http://www.zdnet.com.tw/news/software/0,2000085678,20129194,00.htm

一個新聞事件看到了幾個議題焦點（資訊委外，品質／稽核管理，安全稽核控管以及危機處理）

1.人家搞安全的廠商被駭了,該罵因為他們是自己在維護系
統;最少人家有主控權可以自己處理,但是同一家公司連
自己的門面被毀了,還要搞官僚一套,看部門管轄權決定;
說真的客戶看到你公司首頁被毀誰管你是IT部門還是業
務部門,就是通通一個不信任!不只該罵連腦子都該換

2.一個接觸政府,財金與企業客戶,首屈一指的SI連自己的
門面都顧不了需要透過外包商才能處理,那客戶怎麼能安
心把系統及安全交給他?客戶難道不是SI的專業能力才交
付各項重要系統給它們的呢?對自己網站外包商都無法判
斷好壞, 客戶又怎麼能把安全交到他手上?

3.這事件看到該公司危機處理的觀念相當薄弱,不只沒有口
徑一致的對外處理問題;還說在完全修復前，無法保證瀏
覽用戶的安全性!那是否客戶要說在你修復好確認你公司
的環境安全以前,我不保證將訂單跟案子交給你呢?難道你
連暫時關閉網站積極修復的勇氣都沒有?誰沒事會去精誠
的網站,幾乎清一色都是客戶與精誠的經銷商,簡單的一句
不敢保證做回應是否也暴露對客戶的不夠重視?

4.這也可以看出製作外包卻沒有完整轉移維護技術與能力
的困境,網站外包或許無可厚非,但是常理上必須交付詳
細的系統設計,與技術維護能力文件,以及在交付前必須
稽核與驗證後再結案,但是從這個事件我們看到不僅沒有
做好技術轉移,甚至自己的安全漏洞與稽核卻要外面的人
來做,也顯示連SI自己的品質管控都出問題....

其實在不少客戶專案中SI常常交付的結案文件都屬於可
看不可用的,也難怪自己本身就是這樣的光景了。

附註：有關跨站指令碼攻擊(Cross-Site Scripting, XSS)
漏洞的簡單說明

XSS漏洞。主要是駭客利用網站上允許使用者輸入字
元或字串的欄位插入HTML與Script語言，造成其他
正常使用者在觀看網頁的同時，瀏覽器會主動下載
並執行部份惡意的程式碼，或被暗地裡導入到惡意
的網站，而受到某種程度的風險。

XSS可能造成的風險包括：加密連線失效、使用者的
cookie被竊取、經由被竊取的cookie可假冒使用者
身份、將使用者瀏覽器轉向到釣魚網站，以騙取帳
號密碼等個人重要個人隱私資訊、導向到惡意網站
並安裝惡意後門程式等等，有意思的是這樣的漏洞
對被植入的網站而言並沒傷害。

Microsoft跟Yahoo打得如火如荼，AOL跟HP悄悄的結成親家

2008-05-05T15:01:00.010+08:00

這個週末，我想佔據幾乎中外主要網路資訊新聞版面，就屬微軟(Microsoft)跟雅虎(YAHOO)併購的新聞了。這宗併購案的過程，從微軟(Microsoft)宣佈其意向到雅虎(YAHOO)正式回絕可真是有如影集一般。姑且不論是有人說這是兩家公司的鬥智或是我所謂的策略戰，我個人認為還很有後續劇情可以追蹤。因為商業併購行為中本來就有很多技巧可供採用，以我目前所觀察到的角度來說，兩相比較之下微軟的策略高明許多；某位媒體資深人士提醒我了一個活生生的例子，近年來也有一個資料庫跟跨國人事系統大廠的併購案也有著很多相似之處。雅虎想要放鞭炮,開香檳大肆慶祝，個人認為先省著點吧！The night is still young。

話說回來，這個週末的另外一個有趣的發現是惠普(HP)跟美國線上(AOL)的合作；在前面兩大公司併購案吸引焦點之際，這樣的合作就挺令我注目。

我還記得有個專有名詞叫做＂到達率＂，這個名詞用在入口網站的統計上是在說明網友到達該網站的次數與頻率 (我還依稀記得是在某有名部落格網站被併購時，一個本土網路集團的大老所提到)；網站的價值如何評估?有調查單位是依照所謂的ARO值( Access Rating Online )來做評比。這個數值是根據以下三種資料去做運算而產生的，是由「到達率」，「WEB連線到達率」及「單次造訪停留時間」3個數字相乘而成，ARO值越高，網站流量及網友黏性越高。

為什麼先提到這個呢?因為許多人電腦買回來系統設定好可以上網後，基本上瀏覽器首頁通常是作業系統原先預定的MSN或是硬體廠商自身有關該機器的支援網頁(如果你沒有做更動的前提下)，對於許多不是很清楚或是很在意瀏覽器首頁是設定哪裏的使用者來說，基本上機器或是系統內定到哪他並不關心，但是這個去到哪卻影響了剛剛所謂的ARO值裡面的＂到達率＂。這個週末我打開兩天沒有開機的新購HP筆記型電腦(自從在家裡用19吋跟22吋螢幕合並做延伸桌面後，筆記型電腦暫時被我冷落了)；打開瀏覽器突然發現我原先直接會呈現我這款機器的產品與HP首頁，被更換導引連線到美國線上(AOL)了。

一開始我很擔心的看著電腦上顯示有關該網頁是否安全的URL檢測機制顯示為灰色，下意識的反應以為網頁被綁架了；接連著檢查，檢查再檢查一切確認無樣後重新用另外一部機器重新開啟我HP筆記型電腦機器中原先內定的網址,才終於看到了為什麼轉址的原因，圖片與網址如下:(http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=zh_tw&c=81&bd=pavilion&pf=laptop)

HP的聲明頁

轉址後的頁面　

這個有趣的發現，在雅虎跟微軟新聞佔據版面之際或許有那麼絲絲令人玩味的意思在其中。我並非硬體專家，我無從得知這樣合作的廣度與深度有多大，但是個人淺見這樣會帶給(美國線上)的到達率，應該也是相當不容忽視。

對於所到達的網站(美國線上)停留時間多寡都在其次，至少他已經先搶得更多的到達率與曝光機會了，我想雅虎在擔心被收購的同時要擔心的不只是微軟了，似乎競爭者之間的暗地較勁已經開始白熱化。

消費者，是你縱容企業洩密嗎？(下)

2008-05-05T12:06:00.004+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20128378,00.htm(前言)

三、我一位友人就是受害者之一。有趣的是，他的密碼採用坊間最標準的安全建議設計，數字加上文字與符號混雜的八位數密碼，而且他表示，在該網站使用的密碼並未在其他地方使用。以密碼複雜度來說，要破解需要長達數個月到上千年，還得要持續連線才做得到，怎可能輕易就被破解？若是如此，網站上聲明「所有曾在該網站消費的使用者，需重新設定全部所有網路上使用的帳號密碼以符合長度規範建議」，又真能擋得住駭客攻擊？

該書店聲明頁面。

四，根據網站聲明，該書店事發後立刻已強化登入門檻，讓二次登入失敗時必須進一步填寫「識別碼」的安全措施以避免冒用。但這種虛擬交易安全設計的基本概念，在各大涉及個人隱私與線上交易的網站已經行之有年，廠商最初安全設計不夠嚴謹導致遭駭客破解，難道沒有疏失，反將責任歸咎於消費者密碼設計不當？

附帶值得一提的是，該公司事件處理的內部標準不一。該公司一開始時就聲明絕對不會在非上班時間與會員以電話聯繫，然而我受害人朋友偏偏在晚上八點後接到該公司客服人員的電話，談話內容主要與公司的最新聲明有關，包含重新設定密碼等等。那她是認為晚上八點不是下班時間（她還沒下班就不算數）？還是考驗消費者到底會不會辨識詐騙集團？更幽默的答案出自該小姐口中：「公司沒說什麼時間不能聯絡客戶」等等令我及朋友啼笑皆非。

先研究形象不受損再想消費者補償？

在上述一團迷霧的可能性中，整個事件真正起因還未得到解答，就已見到廠商忙於消毒，似乎忘記了消費者的觀感與權益。

據我朋友說，事發時e公司客服小姐口中竟說「你還沒被騙到錢，那就好，沒啥關係。」之類的對話。殊不知，「個人隱私資料外洩」與「資料外洩後被詐騙」完完全全是兩碼子事情，不同階段的危機處理方式與程序也有相當大的差異。她的個人隱私資料已經外洩，現在沒被騙到就代表不會被拿去進行其他不法用途？

祭出「駭客神主牌」維護招牌與形象之際，該公司卻未想好怎麼面對已經流失在外的消費者資料？受害者已經被詐騙的金額該如何賠償？種種技術問題交代不清，權利義務擱一旁，責任一概推給合作廠商與消費者，儼然是千錯萬錯不是我的錯的姿態。在打出駭客牌以及模糊處理下，隨著新聞熱度的降低，真相被混淆，責任被稀釋。

企業責任只是公關形象而已？

大多數的企業都將企業責任四個字列為營運的主要方向之一，有的公司會去以認養公園等公益方式回饋社會，盡到該負起的社會公益責任；但是企業責任不該只是種種樹、撿撿垃圾、做做樣子而已；只有在危機時，才可以看到企業是否真心勇於面對問題，並承擔企業責任。

在許多資料外洩案例中，我們只看到廠商可以「外力不可抗拒」（祭拜一下駭客神主牌，順便暗喻使用者自己不夠謹慎）或離職員工作為由搪塞，但從消費者角度來看卻顯得麻木不仁。無奈受害者對洩密事件的技術層面不夠熟悉，只能被迫接受一個模稜兩可的解答，花錢消費，風險卻要自己擔。

我不禁回想起自己早期因為行動電話個資外洩，而發生的詐騙恐嚇事件，正因為對方掌握了我當時詳細的個人資料，因此當時我以及家人一直處在深刻的恐懼與困擾中，直到歹徒落網。每一筆個人隱私資料外洩，所造成的傷害絕對不只是每筆資料幾塊錢的事情而已，更難以平復的是感情上創傷與心靈的恐懼。

因此廠商精算著五十、兩千、八千等等不同價碼、討價還價之際，彷彿它們才是受害者，沒想到，消費者因洩密得飽受詐財、恐嚇之困擾，誰又該為此負責？企業責任難道不包括對任何相關風險事件的協助？

企業責任不應該是只表面、只是口號，更應該是具體的行動，「個人隱私資料保密」不容許任何妥協跟忽視，也不允許被模糊成意外事件因為在提供消費者服務與收取利潤的同時，有責任、也有義務提供相當安全機制，保障消費者資料。

隱私權益受損不自知消費者助長了廠商的不負責

這兩起事件意外插曲，是一次跟友人針對「到底什麼是隱私？」的激烈討論。我跟友人爭論在於，他不認為信用卡卡號、地址被知道算是隱私外洩，因為到處都可以輕而易舉取得這樣的資料。到處都可以輕易取得但未經本人授權，就不算侵犯隱私？那陳冠希的親密照片未經授權被不當取得，就不算被侵犯隱私嗎？根據個人資料保密法，「資料擁有者有義務協助其個人隱私資料不被未經授權的第三方取得」。

也就是說，上述兩個案例已經違背了規範，不管原因是疑似被駭客攻擊（還有待確認）或是程式撰寫疏失，廠商都有絕對義務負起責任，而非撇清關係。該負責的沒負責，要不就是負責的不乾不脆，卻也不見受害者或是消費大眾口誅筆伐。消費大眾的沉默是否間接助長了企業的漠視？

本文撰寫當初，ZDNet主編問我這事件為什麼值得寫？我說原因無他；只因為太多消費者的權益受到侵害卻不自知，間接默許了企業的不負責。別再讓沉默變成企業漠視的理由；消費者你的名字不叫做弱者。

無線上網你方便了誰？好人篇

2008-05-05T12:01:00.002+08:00

(見上集無線上網你方便了誰？搭錯車篇)

大多數人可能知道怎麼安裝無線基地台(access point, AP)，但你知道你的訊號涵蓋範圍有多大嗎？一般大多數的無線網路基地台都可以達到室內100公尺、室外400公尺的有效距離。甚至，很多人還將天線加大或是採用穿透力更佳的新型無線設備以獲取更好的傳輸效果。這表示什麼？表示理論上你家的無線網路基地台有很大一塊是在服務「外部使用者」，簡稱做功德、做善事。

AP訊號涵蓋範圍遠大過房屋而可能造福鄰居。（圖片來源：林宏嘉）

筆者有位友人，每次造訪他家我都會忍不住問他為何還不裝網路？他總是習慣右手遙指對面大樓說：「對面的訊號又強又快還從不加密，既然他要當好心大爺，我又何必自己花錢？反正我又不做壞事。」

在好笑之餘，我也好奇有多少人也當了冤大頭，借家中無線基地台給別人上網？為了實驗，趁著一天要南下洽公之便，開著車將心愛的筆電穩穩的放至在乘客座上，硬體未經任何修改，經由適當的工具軟體沿路收集無線網路訊號。結果(如圖一)，短短的數公里中228個無線網路熱點，扣掉需要付費的網路服務之後，我總共發現沒有透過WEP進行加密的竟然還有108個，其中也不乏公司行號！ 47.3%可說是相當高的比例，也顯示已經使用無線網路、且自己架設基地台的使用者，對於自己的無線網路安全竟毫無警覺！

或許有人會說，這可能是因為上述的環境使用者對於安全認知較為薄弱吧！於是乎，不久後我又趁洽公之便，另尋目的地。其中之一可是台灣的高科技重鎮之一，加上我當天隨機挑選的南京東路的商業大樓區分別進行了兩次測試。這兩個對於安全需求程度較高的地區應該比較好了吧？兩次的測試數據結果，不加密AP比例在高科技重鎮為33%，在精華商業區為50%！看來認知與真相似乎有相當大的落差。

你是濫好人嗎？

當好心人固然不錯，不過在你不知對方來意之前，就要擔心好心會不會有好報。事實上，筆者另外一位友人就發生過無線網路被有心人借道攻擊而慘遭警告的慘痛教訓。

筆者一位公司設在台北郊區的友人，因為家族經營地產事業的關係，所以親近的家族成員均居住在緊鄰樓層之中，而他的無線網路也就順應民情庇蔭了親戚們的使用。又因為其他成員並不熟悉IT，因此他的無線網路也就自然而然未使用任何形式的加密。偶爾這位友人會因為親戚小孩在玩網路遊戲或是中毒流量略增，但充足的頻寬與良好的訊號讓他對存取他無線網路的行為不以為意，連自己公司架設的伺服器也變成親友們交換照片的集散地。直到後來，他連續收到國外某公司的郵件與電話通知，通知中說明他公司申請的IP位址與網段持續對他們進行攻擊造成困擾，希望能幫忙檢查一下是否有這類的狀況。友人大驚之餘，除了奔相走告親友關閉自家電腦外，連忙請我去協助處理。

筆者測試路程中所有未加密AP之分佈與訊號層層相疊的涵蓋情形。（圖片來源：林宏嘉）

一檢查無線基地台上的連線紀錄這才發現事情有夠大條。因為整個基地台不僅僅他們親友使用，清單上竟然多出了十幾個陌生的MAC位址；這些位址不知隱身在週遭的公寓哪一角落，借用他的基地台攻擊他人的網路、使用了P2P瘋狂下載，更甚者在他的伺服器上開了個下載分享的檔案空間供人下載，裡面放置了數十G違法的影/圖片、音樂與應用程式(好險還沒被發現)。緊急處理之後，即便筆者為其設定密碼維持基本安全性，不過還是讓他對於無線網路從此敬謝不敏，關閉以杜絕後患。

恐怖吧？無線基地台不加密，頻寬被占用事小，更可怕的是它可能讓你惹禍上身！讓任何人可以免費搭上你的無線網路，的確可說有著聖經中撒馬利塔人式的情操，但你也可能因此變成無辜的代罪羔羊。

無線網路已是現代生活不可或缺的一部份，它帶給行動族與家庭許多便利，但也正因為連線的無形讓人忽略了風險。下次若你想搭免費無線便車，或是以為借人搭一下沒有什麼要緊時，請你再多想三秒鐘！防禦方法已是老生常談，本文只是再次提醒安全的重要性：只要設定WEP、WPA加密，不使用預設SSID 那麼簡單的動作，以及登入你確信是安全的AP，你就能避免上述的恐怖事件。

無線上網你方便了誰？搭錯車篇

2008-05-05T11:50:00.004+08:00

>>近日判客身邊的媒體友人，真實的遇到了因為無線網路遭人盜用而遭警察單位發出傳票虛到案協助釐清案情之事件；該起事件判客自行初步進行的鑑識分析與案情判斷將會完整的另外以專文敘述；還是再次的提醒使用者，自在的使用無線網路時，其實危機往往伴隨身邊；尤其遇上有心利用的投機者與蓄意犯罪的惡鄰居－判客－

還記得你有多少次曾經因為找到可以免費的無線AP而沾沾自喜？還記得你連上時都做了些什麼？還記得那些網點是誰提供的？

當筆記型電腦內建無線網路功能，隨處上網已經從過往「貴族享受」變成「筆電族的基本人權」。不過，這個權利仍受限於可以使用無線網點的位置而大打折扣，誰教欲望無限，但是荷包有限，付費服務讓人卻步，也因此常常可以看到有人分享哪邊可以無線上網，甚至連訊號方位都幫忙指出，但安全的問題也在免費的引誘之下而被拋到腦後。

經過媒體幾年來的報導，原本我以為無線網路的安全與隱私性已經是基本常識，但最近週遭親近友人發生幾件事讓我對這個老掉牙的議題又燃起了興趣，研究結果也大出我意料之外：原來，安全並不是那麼基本的知識啊。看了幾張圖片後，包括Google Maps，讀者們對AP的不安全性或許可以感受得更強烈一點。

台北市某段路沿途中無線基地台的分布狀況(紅色代表AP未加密，綠色為有加密AP)。這些未加密的AP中有多少是陷阱不得而知。（圖片來源：林宏嘉）。

小心搭上恐怖無線便車

搭便車的情節在電影中比比皆是，尤其是恐怖、驚悚類型；從近期的幽靈終結者2007到古早以前已經忘記名字的黑白片，搭便車的情節幾乎都在慘叫與血腥中收尾。

真實生活中，相信大家也曾經在公開場所，猶如搭便車一般地連上免費無線網路。不管是為了查資料、收信、下載或聊天，你所傳輸的資料裡面一定或多或少有些隱私訊息，像是郵件帳號、電話號碼或是如果所存取網頁中有個人隱私的資料等。你是否考慮過是否有所謂的「訊息陷阱」隱藏在後？你也無從得知是否有人在上面靜靜潛伏等你自投羅網？憑藉著薄弱的信任，快意上網的同時，似乎大家都疏忽了搶搭無線便車會帶給你多大危機！

威脅何在？從無線的訊號來看，基地台就只有連上與否的問題；可是你知道嗎？看似無害的免費基地台，只要稍加變化網路環境要截取資料是相當簡單的一件事情。因為只要區區數百元的硬體成本，再針對實體網路架構小小的調整之後就可以達成，堪稱物廉價美。透過這樣變更過的架構，所有資料均可以鉅細靡遺的蒐集殆盡，到這個時候免費的使用者只能任人魚肉。

筆者某位友人就是一位標準的「活動聊天室」，走到哪聊到哪，MSN斷線超過半小時對他已經是種折磨。他常常跟筆者炫耀號稱有行動上網葵花寶典，詳實記載了在哪可以免費上網的地方，連排名都有哩。某天午後我的MSN跳出他的對話視窗「大哥，我被恐嚇騷擾了！」剎那間我還會意不過來，誰那麼好膽敢去騷擾一個身形壯碩的大男人？一經追問他才說道，「我跟某位正妹聊天的內容被錄下來了，對方傳給我當時的對話內容為証據，還說要寄給我老婆！」

利用特定軟體，經由AP連網的使用者資料及活動，都呈現得一清二楚，包括協定、MAC、來源IP及目的地IP，甚至來源與目的地傳輸埠及時間也都看得到。（圖片來源：林宏嘉）。

聊天內容屬於私德我無心過問，但是被側錄我就有興趣了。我先詳細幫他檢查有沒有被植入後門等被入侵的跡象，在沒有任何可疑徵狀之後，緊接著再詢問他上網的歷程與地點，並且逐一實地測試(測試採用了另一個全新申請的帳號，重複了相同的情境)，兩天後一樣的恐嚇戲碼又再次上演。真兇現形了：原來貪圖便利使用不知名的無線AP，竟然是這個被側錄事件的導因。只要有人在AP上加上側錄軟體，等待有貪小便宜的的人上門，等他上鉤後，那可憐使用者的所有資料及活動，包括協定、MAC、來源IP及目的地IP，甚至來源與目的地傳輸埠及時間、或上什麼網站也都一覽無遺。等你的資料到手後，他要冒名作案、要恐嚇取財，什麼都有可能。搭無線便車？小心搭到恐怖便車。

千萬別以為只有搭便車的倒霉，開車給別人搭的也安全不到哪去。君不見電影中身材曼妙的女郎或是英俊挺拔的帥哥，上車後搖身一變成了殺人兇手（或是大帥哥布萊德彼特在電影《末路狂花》中演的搭便車非禮之徒）。無線網路和現實生活的世界恐怕也是一樣危險呢。事實上，筆者另外一位友人就發生過無線網路被有心人借道攻擊而慘遭警告的慘痛教訓。（續下集）

網路書店詐騙紀實

2008-04-30T23:10:00.010+08:00

針對近來網路書店發生的個資外洩事件, 相較於某些言之鑿鑿的說法，我無意在網路上搜集到三段對話紀實，完整的重現了詐騙的過程；從對話中你會發現對方（詐騙集團）手中所掌握的資訊相當即時（雖然騙術實在不太高明）。

這似乎也表示了這些被詮釋成＂意外＂的個人資料外洩事件，其實早是常態而持續性地發生；當這樣的事件一次又一次上演，消費者還願意選擇將自己暴露於風險之中，去原諒一個＂習慣性道歉＂＂哭窮賠不出賠償金＂或是＂千錯萬錯不是我的錯＂的廠商嗎？

自己親耳聽聽,或許你會更清楚真相或是事實是什麼?

延伸閱讀

消費者，是你縱容企業洩密嗎？(上)

消費者，是你縱容企業洩密嗎？(下)

詐騙語音紀實

博客來詐騙集團電話錄音
PART1

博客來詐騙集團電話錄音
PART2

博客來安全嗎？

網路CSI：證據會說話

2008-04-30T01:24:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20109612,00.htm

上上個週末，凱達格蘭大道上眾多頭條中，有一則資訊界人士應該都十分關心，並引起網路上不小討論的新聞。某台商疑似上網張貼與慫恿網友製造動亂破壞社會秩序遭到刑事局以維護治安為由公布鎖定，宣稱某台商就是留言者。

事件也引發警方把網上張貼文章當成証據來源的爭議。根據刑事局公佈的內容：「查出十八日有兩篇來自嫌犯位在美國加州的公司及住家，廿八日嫌犯搭乘飛機過境日本成田機場及廿九日飛抵上海後，又連續張貼兩篇恐怖攻擊活動的內容，並常以不同帳號回覆推文增加文章曝光率，因而研判陳涉有重嫌。」而遭到鎖定的嫌犯則隔海回應調查草率與烏龍，並在某媒體專訪中回應以「當事人以帳號遭駭客盜用」並主張他並無涉案。雙方各說各話，活生生上演著一場羅生門的情節，以致於真相難明。

這名嫌犯所張貼的內容與其政治動機不在本文的討論範圍內。不過，整件事卻突顯出一項十分有趣的議題：以網路行蹤來判定元凶，究竟可不可行？

道高一尺、魔高一丈，今天的網路世界無疑成了數位犯罪天堂，在敵暗我明情況下，罪犯追蹤又難上加難。本文將把重點放在虛擬世界中如何去判定某件事是不是某個人所為，以及有什麼IT科技可以協助警方糾出可能的真兇。

從技術上來說，上網張貼文章在討論區要追查其網路位址並不困難。一般使用者或許認為網路的浩瀚無邊與隱密性因此要隱藏身份相當簡單而相對追查其行為不太容易。其實不然；最明顯的例子是，大家或多或少都上過聊天室，上網夠savvy的人就會知道，有些聊天室在你進入時會自動顯示你此時上網的IP來源位址，這個IP address就可以作為來源追蹤的參考。

「等一下，光是透過IP address判定並不足以驗證使用者身分真偽，」你說。的確，以現行網路環境複雜度而言，駭客或是有心人士是有可能透過系統本身的漏洞、植入木馬、傀儡等等諸多手法遠端遙控、滲透亦或是鍵盤側錄而將其帳號密碼竊取，進行非電腦與帳號擁有者自願之行為。舉例而言，當你的PC遭駭客透過坊間常見的木馬以及鍵盤側錄程式進行滲透，駭客不但可以很輕易在神不知鬼不覺中將你的帳號／密碼記錄下來，也可以利用這台被「佔領的」PC進行後續攻擊行為；事實上，這類跳板攻擊手法在各大資安事件中已屢見不鮮。

但這是否意味著有心人士真能利用駭客手法，隱藏真正行為與意圖，讓警方完全束手無策，甚至可以逍遙法外?

凡走過必留下痕跡

在影集《CSI犯罪現場》中，一個血腳印、一顆掉落的鈕扣，都可能成為破案的關鍵--重要的是，它是否能在辦案人員的仔細推敲與聯想下，成為真相拼圖中的一塊，破案基礎在於一個簡單的概念：「凡走過必留下痕跡」，而這在網路上也是適用的。每一次的上網行為都是一步一腳印、留下猶如DNA般獨一無二的痕跡。例如，登入網路後不管是使用者本身自發性的去了哪些位址、瀏覽了哪些網頁、做了什麼動作、抑或是被駭客滲透，或是任何自願性的進行存取等等，隨著網路科技的進步，這些都可以利用網路與電腦鑑識技術作為偵查的輔助。不管是由來以久植入木馬的駭客手法，或是現今新興的傀儡與間諜程式，都能被有效透過蒐證與分析手法找出來。

網路鑑識（Network Forensics ）及電腦鑑識（Computer Forensics ）便是應用在電腦犯罪與相關安全事件發生時進行的風險對應與管理的相關技術及能力。目前這類技術已經開始廣泛的被應用在電腦犯罪、資訊安全威脅評估與分析以及機密資料外洩等領域上。和《CSI》講求的科學辦案一樣，網路鑑識也具有深厚的科學基礎：透過最新且嚴謹的技術與程序，以及數學演算、分析等技術，針對上述行為進行數位蒐證及事件關聯調查，將有助於事實與真相的還原。這也是本專欄以「網路CSI」為名的原因；後續筆者將有一系列文章來討論鑑識技術如何用於確保網路安全，甚至網路犯案的偵查。

X X X X X X X X X X X

回到這個新聞事件。如果真如當事人堅稱係駭客於背景進行相關行為，那麼在其電腦設備中應該存在相當豐富的駭客「痕跡」，只要像《CSI》一樣進行現場重建，警方除了可以詳細確認是否真的遭受駭客植入程式攻擊，模擬其網路行為重覆驗證涉案之真實性，更可以檢驗證據之真偽以防止事後證據之偽造與加工來逃避其行為責任。

這裏的重點是：鑑識人員要在茫茫人海中鎖定特定對象，甚至判定某個人否涉案，都是經過相當複雜與繁瑣分析程序的結果，以確保追查罪犯勿枉勿縱，絕非草率如嫌犯所說只是依照IP address。當過多調查方向不利於你時，倒底是巧合、是證據？是有罪、是無罪？且讓數位證據來說話。

Torpark：企業的安全死角

2008-04-30T01:14:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20111016,00.htm

上一篇我們大致解析了隱形瀏覽器的運作原理，連線過程中跳經好幾個中介站台，而非傳統的直接連線。或許你會以為真的可以保你不被人追蹤到。看完本篇讀者就會知道其實不盡然，甚至它還可能造成資訊安全上的死角。

隱形斗篷或是國王的新衣？

要問你是否安全，得先回答二個問題：這些中介站台是安全無慮的嗎？再者從這些中介站台前往真正你所要存取的目標網站間通訊是加密的嗎？至少目前為止，答案都是否定的。設計者明白表示了，現行的技術並未涵蓋這些中介站台與真實要存取的網站之間的任何加密，而這些遍佈各地的中介站台安全性也未經證實！更甚者，只要透過適當的技術處理與管道取得中介站台的軟體安裝後，你同樣可以成為這些中介站台的一員；這也更難以確保中介站台的安全可信賴性了。

試問這種程度的「隱形」是否真的達成了它被賦予的任務？可能只達成了部份。對於有上網限制（比如像是被限制存取台灣媒體網站的大陸網友，或是被Google過濾掉有「法輪功」字眼的網站等）亦或是想要存取特殊聊天室與站台的使用者來說，這不失為是個存取的好管道，但絕對不是適合用來傳輸內含個人隱私的資料，因為資料外洩的可能性仍然存在也更無法釐清責任、受到保障。

再者，這種隱藏IP位址與不用安裝以企圖規避各種防禦與鑑識機制的工具，是否絕對無法可治？其實，即使是軍武強國如美國的匿蹤飛機也仍然有人發展出多種反制之道以克服偵測上的問題，不然怎麼會發生實戰中仍被敵人發現蹤跡甚至墜毀的狀況；同樣的，「匿蹤瀏覽器」也仍然有許多特徵可供鑑識與分析，使罪犯現蹤。所以你得自問，你穿著是真的隱形披風，抑或只是國王的新衣？

天堂之窗還是地獄之門？

事實上，筆者認為，「隱形瀏覽器」的問題不只出在技術層面安不安全、或是反而傷害到使用者個人，還在於，它如果用於企業內部，可能會對IT安全管理形成極大挑戰。

此類小巧的工具其實並非只有一種，根據分析網路上大約有五、六種，功能與效用各有不同；但它們同樣會因為用在哪裡、以及如何管理，而造成將對企業資訊安全產生的衝擊。

筆者一開始接觸這樣的工具時，可以想見主張言論自由者或是開放論者對於這樣的發展會有多興奮；畢竟「隱形瀏覽器」讓使用者得以隱藏了自己的行蹤，免除被監看、被追蹤的可能。然而數秒後，小時讀過的一句傑弗遜名言浮現在腦中，他說：「自由之樹，必須經常用愛國志士和暴君的鮮血來澆灌。」這句話被後人解讀到最基進的意義是，為成就自由之名，什麼都可以賠進去。自由的言論固然珍貴，但或許獲益者反而不是珍惜言論自由與潔身自愛的人士，或許這樣的工具可能提供了破壞者一個更為便利的管道與工具。

想想當初漏洞攻擊是駭客們一個一個的進行測試與實現，演變到後來有人將之便利化把眾多的弱點收集起來，變成連小孩都可以使用的工具，才導致現今網路攻擊行為橫流。

現在歷史可能重演。「隱形瀏覽器」讓使用者輕而易舉穿越層層架起的封鎖線，以往對於網址的封鎖、違法的瀏覽器使用記錄將不復存在，以現今以IP位址為防禦依據的安全技術來說，管理人員對違法或是惡意存取者的防禦更加困難，尤其愈來愈多企業內部的應用程式逐漸轉化為Web-Based時，這樣的發展將引人關注。而對於企業提供的網路服務也有相當深遠致命的影響，因為沒有了IP位址，存取網頁與點閱率的行為將無從分析起。此類瀏覽器會不會將是另一個安全管理上的麻煩製造者，答案似乎呼之欲出。

「隱形瀏覽器」這樣的發明到底是天堂之窗抑或是地獄之門？目前沒有答案沒有定論，爭議性的討論也將一直延續。它並非絕對無法可管、無蹤可查，就技術性而言也並非絕對隱形無虞，犯罪者依然可以現形；但是它對於現今以IP位址為基礎的防禦機制之衝擊已無庸置疑，不啻是IT經理一大挑戰。

隱形瀏覽器，真能隱形嗎？

2008-04-30T01:09:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20110842,00.htm

在兒時的童話故事或是卡通中常有隱形人這種東西。主角吃下藥片、或像哈利波特罩上隱形斗篷，別人就看不到他，從此可以隨心所欲，行動自如；是的，自古以來，在多種人們汲汲營營追求的慾望中，最為人醉心的不是長生不老，不是羽化登仙，而是「隱形」這種自由意志的權力。

時代變遷、科技進步，並沒有讓這項渴望有所削減。事實上，這樣的慾望在軍事技術上面獲得最廣泛的實現，從低可視度的簡單偽裝迷彩到抗紅外線的迷彩裝；從一般改變飛機外型、到經過反雷達塗裝的匿蹤技術，在在都不停驗證隱形的可行與其成效。

場景轉換至現今的網路上，隱形這項需求也正被網路技術實現中：這陣子在國內外被廣泛討論的隱形瀏覽器Torpak便是在此種需求上發展而來，本文將探討「隱形瀏覽器」的需求起源、運作原理，以及它是否真正確保隱形。

隱形瀏覽器乃誕生於人們在網路上「隱形」的渴望中。

渴望隱形的心理

一般人都了解，不管你的社會地位多麼顯赫、成就多麼驚人，在網路上能夠代表你的，卻不過是兩組數字、與兩組文／數字與符號混雜的字串，也就是IP、MAC與帳號／密碼。這些如影隨形的字串可以顯示你從哪來、將要去哪，使你在網路上的所作所為無所遁形，這與網路衝浪者原先期待的虛擬天堂頓時破滅，因為秀出來的位址似乎讓一切行為都被看得一清二楚。

當然大多數網路上的服務供應者與使用者都是無害的，然而這些網路使用時的顯露出的位址卻可能遭到有心人士的不當使用；舉例來說，有些討論區、留言板會在你留言時把你的IP位址顯示在留言的註記當中；在某些社群裡面，如果你的發言跟版主不合胃口，對方就來給你個封鎖IP位址，以後你就無法用同一個IP再上這個網站。

很多人應該有到過某些聊天室或是地下站台的經驗，由於這些網站在你登入時會主動顯示你的來源位址，因此常常聊天一言不和下，某一方就可能以各種方式對另一方所使用的IP位址進行攻擊。而從報章媒體也可以看到，警方常利用這種網路使用特質於有人在網路上發表援交或是誹謗等言論時，將發言者循線逮捕。

首先從技術上探討所謂在網路如何做到「隱形」或是「匿蹤」。基本上這已經不是新技術，在長久的網路攻防歷史中，入侵與反入侵、隱形與反隱形, 早就在0和1的世界中反覆上演。以往駭客透過多層的「跳板」與「轉址」已經可以具備不容易追蹤的能力；只是此類運作模式往往都只限於有相當實力的駭客或是技術人員，當然，透過相當的教戰手冊，可讓這類手法的技術門檻降低許多，但是對於大眾而言，這還可望不可及。隱形瀏覽器就是在這種技術的普及需求下被開發出來。

隱形原理

現在我們來看看這個隱形瀏覽器到底是如何讓人產生看起來「銷聲匿跡」的原理。如先前所言，在網際網路上IP位址可以很簡單的用來分析來源和目的地址分析，因此很容易就能查出你正在存取什麼網站、傳送訊息給什麼人。即使是傳統眾多的加密方式也無法隱藏你蹤跡。

圖一使用者的Torpak用戶端程式先取得可用之連接伺服器清單（左），然後，Torpak用戶端程式隨機取得連接路徑前往欲存取的目標網站，其中綠色線條為加密通道而紅色為非加密通道（右）

這些隱形瀏覽器是將以往高深的駭客技術實用化，以改變傳統的直線連接方式。從圖一中我們可以簡單的看出隱形瀏覽器的連接方式，已經從過去單純IP對IP的直線連接，轉變為一條不規則的曲線（圖二）！由此，對方就看不到或是難以掌握真實的你到底在什麼位址，如設計者所言，每次連接(session)都可以有不同的通道組合，甚至你可以主動更新這個組合以躲避追蹤；這與現實生活中的各種軍事匿蹤技術，不管是反射雷達波或降低紅外線可視度等技巧有異曲同工之妙。

圖二使用者如果要連接另外的網站時，Torpak用戶端程式會再隨機選擇另一管道。

這樣真的隱形了嗎？從網站與現行大多數的防禦機制對IP位址行為追蹤上來說，是的。但別人真的看不到你嗎？未必。（明日待續）

追查洩密是企業的尚方寶劍嗎？

2008-04-30T00:59:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20111970,00.htm

前陣子HP違法監聽媒體記者事件鬧得沸沸揚揚，由於調查董事會洩密事件，運用了爭議性手法，最後導致多名涉及此案人員下台，整個案子精采絕倫猶如小說。

該事件也反映出，企業防堵資訊機密外洩是否可以成為運用一切基進手段的尚方寶劍卻值得我們深入探討，或許HP的案子可以讓所有企業主引以為借鏡。

後威脅時代目標價值的轉移

確保資料的完整性是長久以來是每個企業主最大關切。架構層層的資安長城防禦外部駭客攻擊，資料與生產等營業機密外洩或被盜造成龐大金錢損失的事件已經是行之有年；然而現今，內部合法使用者利用合法管道之資料外洩行為卻取而代之，躍升企業管理者心中管理焦點的第一順位；各式各樣的追蹤機制與技術應運而生。

回朔這個引發諸多討論的事件，起因於HP單純期望阻止董事會洩密事件的發生，卻在追蹤與鑑識的過程出現「擦槍走火」的意外結果。整個過程中的調查手法除了違法調查數名媒體記者通聯記錄、調閱與追蹤電子郵件紀錄，甚至到最後散發假新聞以追查來洩密來源與實體跟蹤，各式各樣的手法盡出令人咋舌。

機密核心資料外洩固然是企業心中永遠的最痛，洩密事件輕則影響個人隱私、重則動搖企業營運、影響競爭力；但是反制手法應用是技術面將首先被討論的，到底在預防洩密的同時技術與管理的「底線」到底為何？

從筆者從事的資安鑑識的角度來看，本次的事件反映出企業對使用者「行為模式鑑識」與「事件現場重建」的需求，然而卻顯得「病急亂投醫」，引用第三方的追蹤系統不當地進行郵件歷程的行為模式分析。完整的鑑識相當講究取得證據的合法性與完整性，其中完整性就是指所收集證據的範圍與深度是否足夠。而HP追查洩密的方法，像是追蹤電子郵件、冒名取得記者與HP人士的通聯記錄等等，都忽略了手法的有效性、風險性及合法性。

郵件追蹤證據效果不明

首先，根據CNET新聞的報導，惠普所引用的是第三方技術供應商追蹤信件開啟人的IP位址，看記者是否把電子郵件轉寄給他的消息來源，以調查該公司內部機密資訊的流出來源。然而單純的追蹤開啟信件之IP位址在整個犯罪鑑識中並沒有什麼相當具體的意義。

特別是收發信人員是透過網頁型態存取郵件﹙WebMail﹚。現今Web mail已相當成熟與簡單，任何地點都有可能開啟這封郵件，但這也減弱了「收信地點與收件者的日常生活環境的任何關聯性」，更不用說有哪個意圖洩密的人會堂而皇之將原始信件當作附件夾帶或是使用公司的郵件伺服器寄件而留下紀錄。

圖一郵件的HEADER顯示出一旦信件打開讀取，系統會知會哪家公司。

筆者先後以WebMail（如IE）與常見於洩密事件中的Tunnle跟特殊型前端程式（如Torpak）進行追蹤測試簡單做了實驗。結果發現，該技術的確可以追蹤毫無戒心的使用者。但是有警覺心的用戶可以從郵件的Header看出異常的訊息位址存在（圖一所示）。如果使用者用的是隱藏蹤跡的技術（如Torpak），則該技術完全無法有具體顯示出成效（如圖二）。

圖二該服務蒐集到來自Torpak的訊息，訊息簡單很多。

由上面小小實驗可以得知，現有揭露的電子郵件追蹤其實並不足以證明她們所認定的犯罪者確實涉案；電腦遭他人或是駭客利用而自行寄送郵件的例子比比皆是，因此也僅能證明「該電腦設備涉案」而非「該電腦使用者或擁有者涉案。」無怪乎HP總部舉行的記者會上，該公司律師Michael J. Holston表示在監控的電子郵件並未達成什麼具體成果。

如果還是執著於從郵件行為模式來分析（然後又得不到結果！），其實根本用不著委託他人。

委外反易升高資料外洩風險

在本次事件中，HP乃委託外部第三方單位郵件使用歷程分析服務來追蹤郵件流向。除了效果之外，這種服務另一個問題是，反而可能致使更多不相干的人士接觸所謂的機密資料，導致機密的全面性外洩。

整個追蹤郵件的過程中，首先必須將所追蹤之機密資料後將其郵件位址、檔案加工，或是直接於所懷疑人員的電腦上安裝追蹤模組後再委由他人進行追蹤。不管所採用的方式為何，外界均可以輕易從回傳的訊息了解被追蹤標的物為何。不論是基於「家醜不可外揚」或商業犯罪可能性的理由，多增加一個知悉內情的人就是增加一分曝光之風險，當誘因夠大時，業者不管是與被追蹤者交涉、或對媒體爆料以獲取更大的利益報償，如電影中「變節」之情況也不是完全不可能。對洩密者而言，洩密一次可以一輩子不愁吃穿，縱虎歸山或許可以減少數十年奮鬥；可以想見的是當任何一種狀況發生時其實傷害將更甚於以往。這也是為什麼企業本身需要具備相當之鑑識技術與經驗之原因。

機關算盡太聰明賠了夫人又折兵

鑑識的第二要素是證據合法性。透過證據蒐集，在「企業的涵蓋範圍之下」，對可疑者行為模式像電視影集「CSI」般進行各式各樣的反覆檢驗與關聯性的分析，完整地依照其行為模式重建犯罪的現場，而非利用設計過的事件「誘使犯罪、陷人於刑」。

當鑑識進行到這個階段，就要確保收集證據手法的合法性。像HP採用郵件歷程的追蹤「任意」將他人郵件加入追蹤系統，或是以「pretexting」技術，冒名取得他人隱私資料，更甚者採用實體跟蹤非企業內員工，都是藉由欺騙、不正當的手段以遂一已之願，反突顯鑑識決策的不完整。因此，HP雖然證明了可能的犯罪嫌疑，但是卻因為證據取得不當而導致官司敗訴，進一步影響公司聲譽。這或許是HP高層在當初所始料未及的吧。

HP事件可以當成精彩與複雜的商業競爭故事來看，也可以抽取出值得企業主參考的教訓：企業應當具備對鑑識應有的技術、認知與應用之道德操守，了解你用的「技術」與「程序」是否真正符合鑑識所要求的標準；面對洩密事件與犯罪者所應用的心理與技術複雜程度，企業為保護機密資料機關算盡，但也只能透過「合法的程序與手法」來自我保護，而非為求結果不擇手段，否則使用了不適當的追蹤手法，不但沒有達到效果還吃上官司、賠上名譽，小心賠了夫人又折兵。

擺脫安全的貧富差距

2008-04-30T00:40:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20113583,00.htm

上一集我們提到如何判斷在資訊攻防的新時代中，貴公司是資安的窮人還是富人。如果不幸的，你是窮人該怎麼辦呢？又或者是，IT經理或CIO們該以何種態度架構公司的網路安全呢？

面對真相、對症下藥

後威脅攻擊時代中，面臨攻擊手法多變，犯罪者由外轉內，如何強化安全防禦--以擺脫M型現象--已成為企業安全人員的最大挑戰。就像強健體魄一樣，你必須先了解自己的身體，再選用適合自己的方法。

首先，認清「真實的」安全真相是當務之急；了解現狀固然相當殘酷，但是卻是調整體質強健的第一且最重要的步驟。過往管理者過於信任與重視各種片面的安全訊息，訴諸文字、且流於形式的管理規章與流程，卻忽略了安全的真相近在咫尺，隱藏在穿越層層防禦的內部流量中。完整且不經任何加工地重建與視覺化隱身於這些流量中點點滴滴的證據，將有助於安全真相的還原。

其次為認清一個事實，即安全方案與機制沒有所謂的照表操課保證成功的公式。我碰過很多管理者，他們對於安全並沒有具體的想法，因此他們引進安全設備時，往往僅要求基本功能與報表使用，甚至有的安全設定還要「比照某某知名公司辦理」。這些企業會發現，平平同一種設定，可是資料外洩依然層出不窮。原因何在？

事實上，即便是一樣的網路架構、設備與應用程式，但終端使用者不同，行為模式不同就會產生迥異的安全問題，這就是為什麼在他人企業中執行的安全政策與機制卻並沒有保證在自家執行成功的主要原因。對現實狀況了解不足，將造成資訊安全工作愈做成效愈低，花錢到頭來只落得「做心安」與「形式化」而已。

現實生活中，除了架構對外的防禦機制外，企業更應擴大網路安全防禦的縱深。在前端，過去個人電腦的防禦僅僅止於病毒防護與修正程式派送，事實上，強化各個終端抵抗深度攻擊的能力，像是安裝反間諜程式，適當攔阻與管控威脅的發生，也有助於避免災情擴大。在後端，則強化內部存取控制、制訂以角色為基礎（role-based）的身分辨識機制，同時對於內部所有流量的紀錄追蹤與行為分析，以便攔阻隱藏在表面下的攻擊行為，那也是唯一可以在事件大規模擴散前，辨別未知攻擊行為或是有心人士內部攻擊/竊取洩密，甚至制敵機先的有效解決途徑。

結語

安全兩極化M型現象談的不只是預測模型，更是管理者即將面臨的威脅、以及技術正將遇到的考驗與挑戰。筆者認為，一味宣傳簡化管理、強調外部駭客攻擊，只講了資訊安全威脅一半的故事；另一半，甚至更大部份的威脅是來自自己人，而企業也不應盲目以為，只要取得證照就是神功護體、百毒不侵、永保安康。唯有更主動了解「真實完整--而非片面--的安全現狀」為何，並化被動反應為主動防禦，你才能盡早在安全防禦與攻擊者間無止盡的競賽迴圈中超前一步。

在大前的M型社會中，似乎中產階級掉到新貧階級是不可避免的趨勢與絕望，然而在資安的M模型中則有截然不同的狀況了，只要適當的改變要擺脫陷落的命運並非難事。

祕密、謊言、社群網站

2008-04-30T00:36:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20115361,00.htm

「發亮的東西不一定都是黃金」。

一四九二年，哥倫布看見西印度群島阿拉瓦克族的酋長身上配戴著黃金飾物，從此引發了歷史上無止盡且殘酷的尋金熱潮。

然而當征服者將掠奪到的「黃金」放入鎔爐中，結果卻得到的是黃鐵礦（於是後來這種東西也被稱作「愚人金」）才深刻體驗到「所見不一定即所得」。這道理大多數人都懂，然而這句格言應用到現今網路世界，以及發生在我身邊的人的詐騙事件上更顯貼切。

在網路普及的今天，電腦早就不是資訊業和年輕人的專利。像我那從事傳統產業，與電腦資訊關聯度低，四十啷噹的親愛老哥也能輕易用起即時傳訊軟體和別人聊天，但我沒想到我老哥趕流行的同時，竟然連「被害」都不讓年輕小夥子專美於前(據研究這正是最大宗的被害族群)。過年前夕，接到老哥一通氣急敗壞的電話，「有人冒用我的身分跟電話，在網路上到處訂貨！」他說。

內容簡單，卻讓搞資安的我聽到下巴都快掉了。

難以置信的原因是，除了老哥平常轉寄「他覺得有趣，我視為垃圾」的郵件、加上對電腦應用技術不熟外，頂多有小中毒或是過於靈敏刪了不該刪的檔案，應該不會有什麼因素導致這樣的事件發生。而且我還親自為他的電腦「加持」過—買了坊間口碑最好的防護系統(防毒、反間諜、反垃圾郵件、防火牆及入侵防禦-綠色盒子那種)！也因此，這件事情自然從我當天的事件處理清單中一躍而升為特急件。

「這件事情很嚴重！搞不定你就得吃官司！」在威脅利誘下我親愛的老哥囁嚅道出事情的起因與經過；「就是MSN惹的禍啦！」他說，「我以為他是我認識的人，所以跟他聊聊還互寄信件分享；但是當他跟我聊一些怪怪的東西時，我就請他不要再與我聯繫並封鎖他的MSN，結果就發生了這件事情。」

事實真相是否如此單純？坦白說我是不太相信，不過那並不是個深入探究的好時機，而且我豈能允許有人把腦筋動到我的家人身上！初步分析下，我發現對方是個居心叵測的傢伙！對方在跟老哥交談時就先「癱瘓」了防護系統。（請注意是癱瘓而非摧毀，兩者的差距是在癱瘓是看起來形體還在，只是功能喪失。而摧毀是完全毀滅）。頗有我得不到也不讓你好過的感覺，讓我更懷疑起因的單純性（老哥啊，你到底跟人結了什麼仇啊？）

言歸正傳。

經過隨後的電腦蒐證，我赫然發現在癱瘓防禦機制後，對方在我哥PC上植入高達十三種各式遠端遙控與木馬等破壞性工具，取得長驅直入的門票後，他竊取了老哥電子郵件的帳號與密碼，緊接著登入服務供應商(ISP)網站仔細察看了老哥的個人資料、電話號碼、帳單地址，然後到網路上幾家知名線上拍賣網站(P站、Y站)，假冒身分下單。更狠的在後面，冒名訂貨的同時，他還在近期被併購的一家社群網站上用利用偷來的帳號身分架設個人拍賣網站準備買空賣空，詐財獲利再找個代罪羔羊！或許這可憐的小羊還會以為是自己惹惱了朋友被修理自己倒楣了事。

就在接到老哥電話不到一小時內，我聯繫了所有網路賣、買雙方，並把網路信箱中聯繫往返的郵件、寄件備份與收信匣全部備份，再把我哥的硬碟完整製作了影像檔(保留證據以利於不敗之地)。同時我也立刻封鎖了社群網站上以老哥帳號為名開設的空殼違法釣魚與詐騙網站，以防有人受騙上門。最後是皆大歡喜的結局，沒有人受到實質損失，我想唯一留下的是受驚嚇的老哥十年怕草繩的心情。但至少他是幸運的，有多少人可以像他那樣全身而退？

在案例中有很多發人省思的要點，其中像是個人網頁空間申請的認證是如此薄弱，導致詐騙等事件橫行、服務供應商包含ISP跟網站業者的應變機制脆弱與推諉、網站交易對身份認證等，但因為牽涉範圍較廣，今天暫且不討論。

社群=信任圈?

首先我想點出的是，社群往往鬆懈了我們的警戒心。發生在我哥身上的是個源自於「社群」也終於「社群」的詐騙案件（以虛擬人群為詐騙的起點、利用知名的社群網站作為詐騙實行的終點）。包括我在內，有很多人很難一天脫離MSN等傳訊軟體及網路；無名小站等部落格更是挖寶交友的好地方，它們簡單、易用、迅速、是人際資源的「金礦」，但卻步步危機。在虛擬社群中，與你對話的只是個帳號，你無從得知隱藏於帳號後面的是誰；現實生活中我們與信任的人談心，但在虛擬世界中與你談心的一定值得信任嗎？大多數人在申請ISP帳號時大多是依照規定鉅細靡遺的填寫了全部的欄位，但有多少人會料到，一樣的資料被有心人士利用是多麼可怕！社群網站上網友給的好康分享固然誘人，但你得小心他們給的東西是真的「黃金」還是當年騙了哥倫布的黃鐵礦？

使用者才是安全的根本

其次我們看到，安全之道絕對在使用者本身。案例中，雖然我老哥電腦裝了多合一的防護軟體，不過他在好奇心驅使與戒心鬆懈下，仍然接受對方透過MSN所傳輸看來無害的自我解壓縮檔案，並不假思索執行開啟的動作，最後系統的核心組態慘遭置換。由於大多數的使用者都沒有有足夠的能力辨別自己的防護機制是否完整正常，也因此大家都相當仰賴螢幕右下角工具列的圖案判斷PC有無設防。

這個圖標似乎變成防禦機制存在與有效的代表—卻可能也是一個假象。事實上，圖標存在顯示正常並不絕對等於功能正常，這也使得有心人士可以在假象的掩護下得以長驅直入，再多的隱私與秘密都被窺視殆盡。若過於依賴工具而使用者自己沒有足夠的安全素養，再好的安全機制也枉然。

蒐證自保

我老哥例子給的最後一個教訓是，除了慌亂之外，如何在遇到這類事件時在第一時間應變自保。蒐證是最好應變之道：蒐證是網路鑑識很重要的一環，但其實它並不是調查人員的專利，稍微知道適當的蒐證可免於自己蒙受損失，甚至吃上官司。

以往大多數人所受到的安全教育都是遇到安全事件，拔網路、殺毒甚至把硬碟格式化重新安裝等各種方式清除攻擊者「遺留」下來的工具為優先。然而隨著攻擊型態由摧毀標的物轉變為竊取資料與財務，完整的保留事件現場(包含了軟、硬體)，當涉及法律權利義務關係時，適當蒐證可以確保事件不至於因為外力影響而失真。切記：任何一個未經思考過的動作都會影響證據是否足夠保護自己—以及自己是否有刑責。當然，最好還能即時尋求合適的救援管道與資源，根據我處理過大大小小的案例經驗，很多受害者都是一開始怕別人譏笑而延誤應變的時機。

社群網站作為一個新興的網路應用，建立了人際互動的場域，虛擬和現實人際關係一樣活絡。然而只要有人，就有謊言，謊言的目標從身分竊取、隱私窺探到金錢謀奪，和真實社會版新聞沒有兩樣，甚至更容易--不管你願不願意。虛實交錯運用之下，歷史上的「愚人金」可能乘著現代科技，穿透過層層安全防護悄悄的來到你身邊。

你是資安的窮人還是富翁？

2008-04-30T00:29:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20113582,00.htm

近來日本學者大前研一提出「M型社會」理論在國內受到熱烈討論及報導。該理論闡明代表富裕與安定的中產階級目前正快速消失中，其中大部分向下沈淪為中、下階級，導致各國人口的生活方式，將從倒U型轉變為M型社會。

我們姑且不論這樣的學說所帶來的影響為何，經濟現象也並非本文探討的重點；事實上，筆者是從資訊安全工作中發現，M型現象並非只出現在社會經濟層面，更存在於企業資訊安全環境。筆者認為，此一「M型現象」所帶來之衝擊與影響將撼動大多數IT經理原先的管理觀點與邏輯，因此，本文中將說明，所謂「M型現象」為何？是如何形成？又將如何衝擊現有資安防護？而我們又要如何因應？

威脅型態的轉變與攻擊喜好的轉移

根據筆者多年以來的服務經驗，當被問及公司所關切的安全問題時，大多數管理者都會不假思索回答攻擊多數來自於病毒、駭客等等外部的威脅。的確，從1985年以來許多研究單位以及廠商們的技術發展均不斷提醒著外部攻擊的嚴重性，以及「阻擋式」防禦觀念，因此一直以來，企業都是用防火牆、入侵防禦系統(IPS/IDS)拼命築起另一種世界奇觀—「虛擬資安長城」，然而所謂的「虛擬資安長城」是否真如預期完全發揮了功效？

在攻擊、防禦技術以及弱點暴露程度間巧妙的互動與消長下，攻防之間長期以來一直維持著「攻擊者雖有斬獲但是難以稱霸天下，防禦者逆襲建功但是卻難以徹底驅逐」的詭異均衡態勢。不過，在人們醉心於「虛擬資安長城」的雄偉與功效的同時，IT技術發展與網路應用與日俱增、配合亙古不變的貪婪人性，威脅的攻擊重心軸線已悄悄轉移。

以攻擊種類而言，以往大規模的正面強攻，意圖癱瘓網路服務、塗抹網站插旗宣示主權的行為，已轉變為深入敵後燒殺擄掠、竊取智慧財產與個人隱私藉此圖利，我稱之為「後威脅時代」模式。

新時代最具代表性的手法無非是層出不窮的間諜軟體、行蹤飄渺的Rootkit以及各式為攻擊者洩密「架橋鋪路」的Tunnel工具。即時通訊類工具的便利、隱密與多功能，不只為用戶開了扇窗，更為駭客或有心人士建了個門。日前發現的Skype攻擊，可說就是相當經典的案例；雖然這次並未順利造成大規模傷害，但是已經可從手法中略窺這類穿透性攻擊未來的發展與影響相當深遠。

罪犯的重新定義

同時，網路犯罪的定義也有所改變。過往安全罪犯的定義，是「從外部而來的」，也就是駭客，因此絕大多數的安全規劃與防禦機制均以此為出發點而設計。隨著犯罪心理與手法的精進，越來越多企業遭到的攻擊行為都是冒用既有的身分與權限，或是佔有內部的機器而為之。事實上，罪犯的定義已經改變，因為你再也看不見或是很難看見外部駭客的身影，取而代之是擁有行為正當性的內部使用者；原本是可以信任的內部使用者進一步鋌而走險利用各種原先高深莫測，現在卻可以輕易取得的駭客工具竊取資料販售圖利。

這種改變也將衝擊現有安全防禦制度。企業如果只在意外表、忽略內在安全，資訊安全就好比一顆打蠟打得很漂亮的蘋果，光鮮只僅只於外表；當蛀蟲吃光了內層，再漂亮的皮也會崩塌。而那些內部蛀蟲就成為即將壓倒長城的最後一根稻草。

防護觀念須與時俱進

正因為現有的資訊安全長城是如此脆弱與防禦縱深不足，管理者相對就必須扮演更決策性的角色。根據MIC等研究報告指出大多數的管理者將維持或是甚至減少對資訊安全的投資，這可能將削弱企業資訊安全的整備度。其實投資金額的大小，並非安全兩極化最主要的成因；真正最關鍵性影響來自於安全防禦機制的建置規劃、方向與設計未建立於認清事實的基礎上。

威脅重心的轉移，犯罪者的重新定義，使得傳統事件記錄已不足以提供制敵機先的洞見。套一句我一位客戶的話，許多企業仍抱持著傳統「抵抗外敵」的比度構築所謂的「遮羞長城」，即不斷增加城牆的厚度，或是為了節省管理的麻煩而導入眾多功能匯集於一身的安全設計，亦或是追求證照以期望可因此而徹底改變安全的完備度。但對於威脅持續轉變認知不夠的管理者而言，「遮羞長城」只遮掩了內部安全的千瘡百孔，由於不了解真實的現狀，過度依賴可以被分析之安全各種片段訊息，反而讓這些企業做出錯誤、甚至疊床架屋的決策，並不能有效維持企業的安全係數。

如果忽視了新的威脅，企業即可能在攻守相互生成的圈迴中屈居弱勢，向下沈淪為中、下等級，同時間強者愈強，弱者愈多，走向兩極化，形成資訊安全的M型現象。下一篇我們將探討，因應M型現象的時代到來，我們的防護觀念該做何種調整。

貴公司是資安的窮人還是富翁呢？

你知道你的舊手機在哪嗎？

2008-04-29T23:48:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20116365,00.htm

隨著手機價格愈來愈便宜與普遍，這個生活中必備的通訊工具也演變為時尚的消費品；時髦、炫目的手機設計也加速許多人汰換手機。

更新手機頻率有多頻繁？或許我們可以從雅虎奇摩拍賣網站上每天最少15,000筆的拍賣品項可見一斑。這個數字還不包括透過其他網拍、討論區等虛擬管道以及實體店面、私下交換的數量；甚至有人估計，全台灣每天市場上流通的二手手機，數量應該維持在40,000隻上下。

或許讀者看倌們也曾把你失寵手機拿去拍賣或舊機換新機了吧？但只見新人笑、不見舊人哭，把玩新手機的同時，可曾想過你的舊手機在哪？

關心舊手機，並非如寵物般關心它現在過的好不好。而是，現在的手機具備有強大功能，可能儲存了大量的電話簿、行事曆、地址、簡訊、照片、帳號密碼甚至重要的隨身檔案以便於隨時可以取用。手機早已成為大多數人一日不可缺的貼身裝置—當然也掌握了你許多私密資料。對某些人來說，這些資料一旦曝光可能上頭條新聞。君不見兩年前名模林志玲的手機洩密事件鬧得沸沸揚揚，當時的媒體焦點僅在八卦議題上打轉，而忽略掉手機資料隱私才是和大家息息相關的部分。

這裏有個可能你想都沒想過，而拍賣網站與手機廠商（可能不知道）也不會告訴你的殘酷事實。那就是當你要換手機時，即便你親眼看著資料刪除，你的資料卻依然可以透過特定方法還原而完整重現。如果你如同大多數人相信手機洩密極不可能，那接下來筆者的親身經驗或許會讓你改變觀點。

意外的插曲－藍牙釣魚？

藍牙耳機之類的裝置已很普及，有多少人認真想過藍牙的傳輸距離有多遠？在這次測試中，我嘗試開啟電腦上的藍芽功能，以便於連接電腦進行還原程序。除了順利將自己的手機連接上以外，無意間我竟然誤點送出連線申請呼叫給另外兩個不知名的手機（我猜想是我隔壁房間的房客），我意識到自己犯錯的同時間，對方竟然已經回覆、接受申請！

這件事情有多恐怖？整個過程中我完全不需要任何密碼擷取對方手機中所有（包含SIM卡）的資料，甚至可以利用對方的手機發送簡訊等等，如同駭客取得權限後利用你的機器進行跳板攻擊一般。基於道德我很快的切斷了連線（倒是對方還嘗試恢復連線！），但是我已經在短短的時間內取得了那位仁兄最近幾通的通聯紀錄、簡訊與電話簿。

事後據我推測可能是因為我的藍芽設備名稱只取了個無害的名字「Free Bluetooth Mobile Connection Center」，降低了大家的心防；但是看來，利用藍芽釣魚已不是不可能的事。如何預防？只能提醒大家千萬別為了小小的誘惑幫你的愛機亂牽姻緣。

還原手機秘密大作戰

最近筆者遇到個大家可能都曾遇到的窘境。當時筆者出差國外，不慎誤刪了記載重要會議記錄所要執行的細節的簡訊，當時卻因身處異地而求救無門，因為發簡訊的人是透過網路從電腦上撰寫並未留下紀錄。沒有電話號碼、沒有簡訊可供參考。這時筆者的心情只能用「欲哭無淚」來形容。

筆者不死心挨家挨戶的詢問了超過十五家的通訊門市，所得到的答案依然是否定的答案：「刪除掉的資料絕對不可能救回來的！」隨著會議分分秒秒的逼近，我卻歷經一種昇華的經驗，開始靜下心思考：難道我就不能像回復電腦的檔案一般還原手機中資料？不信邪的我想要拯救那些資料，大半夜衝出門，準備了幾項工具（多種軟體以及一條連接線、一台讀卡機）－開始了這次搶救手機資料大作戰。

如何破解（我認為拯救，人家看成竊取，執法人員視為鑑識）依照手機廠牌差異有不同的情形；當然工具也會因為你要做的程度有所差異。不過在此我會略過詳細的工具介紹，因為畢竟這不是駭客研習班，而目的是想要突顯的是大家對自我隱私的關注與保護。

個人隱私全都露

當手上的工具齊備，我忐忑不安地將手機連上電腦，首先映入眼簾的是我曾經用手機做過所有事情的紀錄，從我尚未刪除過通話紀錄、收到的簡訊、收過的檔案到部分已經刪除的紀錄。此時我感動不已，大部份資料都回來了。接著我看到了簡訊；簡訊復原的程度目前依照不同手機似乎有不同的結果，但是以我當時需求而言，最少我找到了部分當時透過手機簡訊傳遞與接受的內容而知道該找誰求救了（下圖僅顯示廣告簡訊內容。）。

回到台灣我想再試試某個我從網路上找到的工具的能耐。我想大家有時會(基於各種理由)把撥出紀錄或簡訊刪除的經驗吧？利用這項工具，我竟然看到了我刪除的電話記錄與簡訊（見下圖）！這或許也沒什麼，因為你可以透過申請通聯紀錄取得，雖然僅限於自己門號，還得複雜的申請程序。

更嚇人的在後頭；仔細分析系統中還原的資料，我赫然發現這段時間以來，包括我去年出國期間我帶著這支手機存取過哪些電信服務供應商。（如下圖）

也就是說，誰傳了簡訊給你、你打過電話給誰、拍下的照片、甚至去過哪些國家，這些甚至你已忘卻的點點滴滴全記載在你手上小小的盒子中，只要我願意，還原它只花我3個半小時。套句知名信用卡公司的廣告用語：連接線－新台幣$ 200、讀卡機－新台幣$200、工具－免費，獲得的資料－無價。

然而，換個角度想，當手機落入別人手上後你的多少祕密將岌岌可危？

或許你開始擔心該如何預防？謹記，對手機好比對待信用卡一般、不要讓它離開你的視線，即使想要拿去拍賣，也要瞭解每家手機特定的徹底清除方式(原廠網站上應該都會說明如何恢復出廠值)。今天起，除了手機的外表，也多認識一下愛機的內在，同時，刪除資料不要假手他人（或手機店家），才是確保手機不讓你大小事全都露的上上之策。

說到這，我開始憂心起那被我為了追求新鮮而棄養的手機，此時不知身在何處？

密碼、偷窺、web 2.0(下)

2008-04-29T23:41:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20120361-2,00.htm

供應商不用負責？
同意我接受？

筆者對身邊的諸多友人做了個有關網路服務的小小實驗與調查，結果數據卻相當的有意思。受訪者有超過八成八的網誌與相簿的使用者沒看完使用條款就按下同意我接受、受訪者中有九成三不知道網誌與相簿上的資料必須使用者自己負責，如果被破解也是使用者要自行承擔風險。事實上，根據一般服務供應商的條款，往往要求使用者先行同意如下條款：

(a)業者不承擔任何直接、間接、附帶、特別、衍生性或懲罰性賠償責任，其中包含您的傳輸或資料遭到未獲授權的存取或變造

(b) 您已認可業者對本服務內容加以任何事先審查，對會員的使用行為於技術上也無法進行全面控制，您使用任何內容時，包括依賴前述內容之正確性、完整性或實用性時，您同意將自行加以判斷並承擔所有風險，而不依賴於本站。

上述只是眾多條約的範例，也意謂著，當你按下「我同意並接受條款」的按鈕時，你也自行宣布了放棄某些與你有切身相關的權利。

或許有人會回應，這是免費服務啊！不然，你可以參加付費服務啊，你得到的安全性就會高得多。

但是筆者有著截然不同的觀點。套用電視、觀眾與廣告收入的邏輯：各位網民的內容與圖片就猶如電視不同的頻道與節目；電視節目的收益來自於收視率，收視率高就會帶來更高的廣告效益。你能說，觀眾看的是免費節目嗎？場景換到網路，網民們表面上是憑白賺到相簿空間與所謂的人氣，殊不知，網站其實因此獲得了龐大的廣告收入--他的服務終究不是白給的。

真相是，供應商並沒有因為廣告收入而加強安全機制，反而以一個條款來規避他的責任。供應商對安全難道可以置身事外？你的隱私與創作應該不只值這些吧？免費的代價卻是連安全性都不保的服務？越來越多的破解事件若讓BSP (Blogger service provider)及相簿服務供應商一再不被檢討地逃過，放任的結果恐怕將助長未來破解發生頻率的惡化。

幾條條款就想輕易和責任「切割」，小心一刀割裂使用者的信任：當放置在上面的資料、照片的隱密與安全性已經不存在，你還願意再使用他的服務？

其實根據筆者在資安業界工作的經驗，現今安全技術要保護使用者並非難事；對供應商而言，從使用者身分辨識管理、單一簽入機制到網路行為的深度鑑識，在在都可以幫助服務供應商遏止犯罪事件的發生。

自保之道

在供應商採取適當行動之前，此時網民們只能尋求自我的保護；其實因為所有的程式等等都寄居於供應商的伺服器上，因此使用者能做的也真的不多。如果你非要分享私密卻又不想當新聞、情色站台與P2P的主角，或許可以參考看看以下做法

一、不想被看到的，就別上網

以現今的技術而言，要竊取網路上的資料並不會太難，因此真正認為隱私且如果曝光會有所影響的資料，就請你千萬不要放上網。衝人氣固然重要，但放置資料的同時仍請三思而後行。

二、上鎖就不要貪圖方便

根據研究密碼被破解大約需要十六小時，前提是指有依照相當規範的密碼進行測試；有相當多網誌與相部的密碼都簡單到用生日、電話號碼等等很數字去設定，因此破解成功所需的時間遠遠低於這個數字。適當的加長密碼長度，定期改變密碼是你最簡單保護自己的方法。

三、自己要做自己的主人

當你將資料放上網後，千萬要時時注意，比如說點閱率的爆增、避免下聳的標題，甚至自己的每個動作都要留下記錄，以便於發生事件後的舉證。再者，如果你非要透過網路空間分享私密不可，那麼選個好的供應商、謹慎選擇分享對象，並對於相片採用更嚴謹的保護措施才是上上之策。

如果出書、寫文章宣揚他人隱私是侵權，那寫部落格、張貼照片宣揚他人的隱私，更甚者破解他人相簿憑什麼不算？部落格與貼圖雖然是一種新興的交流方式，但是並不會對真實生活中的法律責任產生任何改變。一旦我們繼續放任，情況只會日益惡化，屆時難以遏止。偷窺與侵犯他人隱私一旦成為Web 2.0服務的普遍現象時，今天你看了別人的，小心哪一天你或你的朋友就成了洞裏春光的主角。

密碼、偷窺、web 2.0(上)

2008-04-29T23:28:00.003+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20120361,00.htm

隨著Web 2.0變成當紅名詞，網路相簿或部落格也成為時興玩意。火紅程度讓最近淡大粉紅妹、黑澀會美眉、土耳其出賣男等五字訣的相簿被破解或親密照外流的新聞變成大家茶餘飯後的話題。

新聞熱鬧過後，作為資安工作者同時也是網路重度使用者的筆者認為，這類應用的安全疑慮其實值得探討；這些新聞反映出由訪客、Blogger、服務供應商構成對資訊隱私的危害。

網路偷窺時代到來？

CNET告訴我，該公司文章近來最受網友歡迎且留言眾多的文章是如何破解BIOS密碼及專家：密碼防護己顯不足。

這二篇為什麼那麼多人看，老實說和內文無關；如果讀者有耐心一篇篇點進去看留言，可以發現絕大多數的網友都希望能找到破解某個網路服務如Web mail或相簿某個密碼掉了或被駭的帳號。但每個破解、偷窺的理由是否都如此冠冕堂皇？破解密碼的動機，可能是老公為了掌握老婆行蹤、男女朋友為了偷看是否有情敵、職場競爭對手則想致敵機先而絞盡腦汁。

這又讓我聯想起一位友人的事。我這位友人有著一位美若天仙的賢內助，己婚的她仍然是辦公室注目的焦點且愛慕者不斷。端午假期空檔他約了我說有重要事情詳談。談話中他敘述了內心對婚姻維繫的擔憂，而且為此花費了不知多少心力去刺探他夫人的一切通訊--即時通訊、網路郵件、網誌以及網路相簿。其實他正希望筆者能幫幫他，將各種他夫人已經上鎖的網路相簿等一一解碼！當然他並未從我這得到任何技術與實質上的協助（看了後面讀者就知道原因為何）。當事人的行為道德並不在本文討論範圍，而是讓我對破解與偷窺有了新的認知；它讓我見識到，原來網路偷窺的世代已然到來—而且十分普及。

偷窺的代價

在為所欲為的網際網路，刺探隱私早就從該不該、能不能演變為要不要與想不想的問題。垂手可得的工具、眼花撩亂的討論區更助長了破解門檻的降低。當破解變得輕而易舉，有多少人抵抗得了這誘惑？像是黑澀會美眉的相簿，明明有密碼，卻還是給人破門而入。

但很多人可能忽略了，在滿足了感官及好奇心後，之後須付出的必然代價。以台灣的法律而言，破解他人加密的網路相簿，瀏覽並抓取照片就已經觸犯了刑法第358、359條；而換成實際的處罰來看那應該將是五年以下的刑罰與數十萬元罰款，只要被窺者提出相當的數位證據與相關證明並未授權其瀏覽，那麼偷窺者，你的代價其實相當高！至於在網路上，協助散佈流傳的人，根據刑法第235條，張貼「猥褻」文字、「違害善良風俗的」圖片的人也得小心連帶負起相關刑責啊！

部落格自我展露自由無限？

偷窺者固然有其應負之責任，被窺者呢？有人認為，Web 2.0的精神是互動、開放、平等。YouTube與無名正是網友創意無限、表現自我的最佳實踐。可是當露點、親密照片放上網路時，不啻是挑戰網友「柳下惠」般的控制力。（小小密碼怎麼擋得了意志堅決的網友呢？）往往破解、偷窺就是必然結果。

這就談到，部落格照片是不是有「引發犯意的嫌疑」。現實生活中，女生穿迷你裙不等於他人有權利從樓梯底偷看她，雖然我絕對贊成這點，但如果相簿標題寫上「我沒穿內衣」或是「第一次激情外拍」等，就有十足引誘犯罪的威力；這可以從各網誌與相本中的高點閱率—以及可能的強力破解--清楚的看出。即使妳／你是被破解的受害者，但也不表示你只是單純受害；同樣依據刑法第235條，妳／你可能也會因為張貼具引誘性的文字而難辭其咎。

許多相片被偷窺、傳閱的主角，往往不是一個人，而是兩個人（想也知道原因吧）。淡大粉紅妹本人沒有公佈照片，卻因照片中的男友為衝人氣而將之公佈在部落格中，負心的土耳其男友分手後，透過留言方式將私密照片公佈於女方的部落格上；當郎心變狼心，傷心固然傷心，但他們有沒有法律責任呢？

這個問題或許即將有個答案。去年底發生的「慾望華府隱私攻防戰」新聞，一名任職於華府的女性將她在國會山莊和六位男士的複雜親密關係撰寫成日記並張貼於個人的部落格中，原先僅供友人觀賞，但後來遭八卦媒體挖出而轟動一時。這個官司至今尚未宣判，但它突顯了部落格作者能不能不經他人同意把私密內容公佈的問題：若其中一人未經同意將照片或情節曝光，就會傷害到另一人隱私。

當我們對可憐受害者報以同情眼光時，應該要想到：為什麼他使用的是眾家「有名大站」的服務，卻仍然落得隱私被看光光？這裏要請問讀者：你可曾認真看完你申請網誌的使用條款？（請接下頁）

消費者，是你縱容企業洩密嗎？(下)

2008-04-29T23:12:00.003+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20128378,00.htm

(見前言)

該書店聲明頁面。

先研究形象不受損再想消費者補償？

在上述一團迷霧的可能性中，整個事件真正起因還未得到解答，就已見到廠商忙於消毒，似乎忘記了消費者的觀感與權益。

企業責任只是公關形象而已？

隱私權益受損不自知消費者助長了廠商的不負責

消費者，是你縱容企業洩密嗎？(上)

2008-04-29T22:37:00.003+08:00

本文轉載自ZDNET 作者:林宏嘉http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20128257,00.htm

過去二個月最熱門議題是什麼？絕對不是激烈的選戰，而是轟動兩岸三地的「Edison Chen」事件。連當時身在英國的筆者都可以和當地人談這件事（雖然這種宣揚亞洲文化的另類方法卻並不值得稱道）。

但是，這件事只顯示主角的人格瑕疵，傷害性比起筆者要談—卻很少人注意到--的事件要算小巫見大巫；我討論的正是國內兩大龍頭書店前後爆發洩漏個人資料的事件，長期為企業與個人資料外洩事件處理的筆者，看到現今社會對個人資料隱私的漠視與無知有所感概，加上兩大事件的受害者筆者都有熟識，因此促使筆者為文指出國內處理個人隱私資料之企業在資料保護的具體措施上，以及事後的責任承擔方面諸多可議之處。

洩密的新聞報導似乎已經不能算新聞，發生的頻繁度幾乎已經到了讓人麻痺的程度。除了競相討論的Edison Chen事件外，光是這半年內就有北市政府洩漏的老聚落居民身分資料、電視購物公司、陪你瞎拼一輩子的網站、線上書店代辦的影展與另外一家龍頭書店網站資料外洩，其他還有像是傳染病追蹤名單、學校教官的身家資料等洋洋灑灑數十起事件，受害人數上千。這還只是看到被爆出來的，還有多少沒有被發現？還有多少已被用公關手法鎮壓住？各種隱私資料可能在你我不知不覺中被交換、買賣掉了！想到這已經不寒而慄。

你以為光這樣就夠糟了？更糟的是，這些接觸個人隱私資料的公司在因業務疏失而造成的受害者補償上以及事發後的態度令人心寒，不知該說消費者是待宰羔羊？還是誤入叢林的小白兔？

事件因為失去新聞熱度而音訊全無，所以且容我幫助大家回想二個消費者極為弱勢的情境。

弱勢消費者情境一：和解彷彿訂立不平等條約？

去年年底某網路書店（姑且稱為B）銷售影展套票時，在消費者訂票通知的電子郵件中「不慎」（官方說法）將消費者的個人資料，包括姓名、e-mail、電話、手機、地址等資訊外洩。

整個事件隨著新聞熱度的降低、公關操作而逐漸被淡忘，該公司事後當然有相關所謂的「標準」危機處理，包含了道歉信、願意賠償消費金額、提供小金額的電子禮券，到最後真正的賠償處理。但一切看似合乎常理的處理程序其實隱藏了許多不合理的因子。

首先值得探討的是，該書店所謂的危機處理是從哪為出發點？是只顧及了廠商的形象？還是真正關心到受害者的權益？B網路書店廠商初期道歉信階段先賠償了五百元的電子禮券，緊接者在眾怒未消之時又表示願意負擔該次消費金額，但是附帶但書，如果要接受這樣的條件必須要在「指定的時間」上網登錄註冊後並放棄後續權利，到最後才提出和解協議，卻延宕至今，仍與受害者在賠償內容上無法取得共識。

令人氣結的是，該和解協議中明訂了三項僅顧及廠商利益的一面倒慰問金和解條款，為了避免錯誤我直接引述受害者給予的資訊以供各位參考，內容如下；

1.不得再向第三人或媒體轉述此事,包括本協議書之內容。
2.不得再向該廠商提出任何民刑事法律追訴。
3.違反上面兩點,需支付所得慰問金100倍之懲罰性賠償給該廠商。

我很想反問，個人資料外洩，你在乎的是這麼小小的金額嗎？個人隱私值多少，這個問題難以定論，但是廠商條款卻已先曝露著保護性的字眼，卻看不到他要如何幫受害者進行保護性的誠意，只看到它一味的要求消費者「拿錢閉嘴」的心態。對消費者而言，簽下一紙「欣然同意」的不平等條約等於賤賣了你的權利。

弱勢消費者情境二：資料外洩跟我無關，千錯萬錯都是別人的錯？

相隔數月，另外一家給人高格調感受的某網路書店（且稱之為e），也發生了類似事件。該書店透過超商遞交書籍給客戶的資訊流入詐騙集團手中，歹徒可以清楚知道消費者的訂單資料，包括姓名、電話、信用卡的部分資訊，並進而利用該資訊誘騙消費者將費用轉入詐騙集團指定的帳戶中。

受害者從該書店收到郵件畫面。

根據新聞，事發當天e書店聲明說系統本身經警方檢測無異狀，可能是出在合作的物流業者或取貨通路。隨著案情偵辦進度，最新網站上官方說法又稱「駭客強行搜集資料」，網站懷疑是因為消費者一組密碼多站通用的習慣，而密碼設計又過於簡單，導致密碼被駭客破解。

事件在受害者投訴後也有「標準」危機處理，從委請警方檢測系統、發通告、電話通知到最後於網頁刊登聲明。同樣的，處理程序看似合理，卻有事件發生的真正原因交代不清、受害者賠償事宜未盡周全以及內部對事件處理標準不一致等疑點。

一、兩相對照其實是相當矛盾。系統既然經過檢測安全無虞，那麼為何最新的說法轉換為與駭客相關？熟悉資訊系統風險分析的人，應該都能夠同意系統正常運作，並不表示資料沒有外洩（太多真實的案例可證明這種假象的確存在）。更甚者，如果係所謂公司所謂的資料拼圖手法，駭客已經掌握到這麼多資料，那麼廣大的會員資料只有那幾筆外洩？還是因為柿子先挑軟的吃，其他的以後慢慢再嘗試？

二、熟悉攻擊模式的人應該會同意，駭客不會這麼辛苦的一筆一筆帳號、一個個密碼地去測試。攻擊該書店的駭客這麼歹命，（是這年頭還有做心酸的詐騙集團，還是笨賊一籮筐？）如依書店官網所說，是採用資料拼圖的手法，他們應該是採用工具與字典檔的模式來進行破解，因為最符合經濟效益，而入侵的網路行為模式也應該會非常接近DOS（Denial of Service拒絕服務攻擊）。那麼，如果網站安全機制皆運作正常，為什麼事發當時毫無警示甚至主動攔截，而等到事發多日後才提出相關研判？(待續)

無線上網你方便了誰？好人篇

2008-04-29T22:21:00.003+08:00

本文轉載自ZDNET 作者:林宏嘉
http://www.zdnet.com.tw/enterprise/column/csi/0,2000085696,20123621,00.htm

(見上集無線上網你方便了誰？搭錯車篇)

AP訊號涵蓋範圍遠大過房屋而可能造福鄰居。（圖片來源：林宏嘉）

你是濫好人嗎？

筆者測試路程中所有未加密AP之分佈與訊號層層相疊的涵蓋情形。（圖片來源：林宏嘉）

無線上網你方便了誰？搭錯車篇

2007-12-01T03:07:00.002+08:00

本文轉載自ZDNET 作者:林宏嘉
http://taiwan.cnet.com/enterprise/column/0,2000062893,20123561,00.htm

>>近日判客身邊的媒體友人，真實的遇到了因為
無線網路遭人盜用而遭警察單位發出傳票虛到案協助釐
清案情之事件；該起事件判客自行初步進行的鑑識分析
與案情判斷將會完整的另外以專文敘述；還是再次的提
醒使用者，自在的使用無線網路時，其實危機往往伴隨
身邊；尤其遇上有心利用的投機者與蓄意犯罪的惡鄰居
－判客－

還記得你有多少次曾經因為找到可以免費的無線AP而沾沾自喜？還記得你連上時都做了些什麼？還記得那些網點是誰提供的？

當筆記型電腦內建無線網路功能，隨處上網已經從過往「貴族享受」變成「筆電族的基本人權」。不過，這個權利仍受限於可以使用無線網點的位置而大打折扣，誰教欲望無限，但是荷包有限，付費服務讓人卻步，也因此常常可以看到有人分享哪邊可以無線上網，甚至連訊號方位都幫忙指出，但安全的問題也在免費的引誘之下而被拋到腦後。

台北市某段路沿途中無線基地台的分布狀況(紅色代表AP未加密，綠色為有加密AP)。這些未加密的AP中有多少是陷阱不得而知。（圖片來源：林宏嘉）。

小心搭上恐怖無線便車

聊天內容屬於私德我無心過問，但是被側錄我就有興趣了。我先詳細幫他檢查有沒有被植入後門等被入侵的跡象，在沒有任何可疑徵狀之後，緊接著再詢問他上網的歷程與地點，並且逐一實地測試(測試採用了另一個全新申請的帳號，重複了相同的情境)，兩天後一樣的恐嚇戲碼又再次上演。真兇現形了：原來貪圖便利使用不知名的無線AP，竟然是這個被側錄事件的導因。只要有人在AP上加上側錄軟體，等待有貪小便宜的的人上門，等他上鉤後，那可憐使用者的所有資料及活動，包括協定、MAC、來源IP及目的地IP，甚至來源與目的地傳輸埠及時間、或上什麼網站也都一覽無遺。等你的資料到手後，他要冒名作案、要恐嚇取財，什麼都有可能。搭無線便車？小心搭到恐怖便車。

IT人吐露真心話的時刻

2007-11-29T01:12:00.001+08:00

本文轉載自ZDNET 作者:鍾翠玲http://www.zdnet.com.tw/enterprise/column/zdnote/0,2000088197,20126092,00.htm

>>超過兩位數年資的IT生活，經歷過不同的職位；我必須說IT人真的是相當的＂阿信＂當然這跟許多IT人不善言詞或是較於內鍊有著相當直接的關係。吃苦當作吃補，或是成功不必在等等對話是我最常聽到的溝通用語；也因為這樣大多數人選擇壓抑了真實的自我，反正薪水照領，久而久之抱負與理想也就被這樣的情境影響成為日復一日，年復一年，揮之不去又食之無味，棄之可惜的無聊工作。說真心話之重要，就猶如真實的面對自我一般；那是個重要的修練，找回真實的自我與自信或許就從IT人吐露真心話（不管多少／長短）開始。-叛客－

我一直有個印象，國內大部份企業內部的IT部門人員都相當內斂、不願拋頭露面，更別說公開表達意見。

採訪IT新聞那麼多年來我參加過許許多多IT廠商發表新產品找客戶來站台、或是連袂宣佈某個專案的完成(或是即將展開)的記者會。在職業訓練之下，我們記者都知道，那站在舞台上與廠商舉杯慶賀或握手(然後原動作凍住一分鐘等相機拍照)大部份是不了解那個專案在幹嘛的總經理，好一點的是CIO。

但是如果你要知道到底這個系統用的是哪個軟體、硬體、何時上線、需要多少人月、整合什麼系統、為什麼要選這家軟體不選那家，就要去找站在台下鎂光燈外、通常穿著平實、看來低調(其實就是很低調)的IT經理或資訊處長。在有些公司，如果媒體想採訪某個IT專案，往往得先讓總經理、副總講完公司願景後，技術部份才由IT經理「補充」。

IT人似乎總是那麼謙卑，硬著頭皮接下上級交辦工作、「吃苦當作吃補」。這個印象大部份時刻是對的，除非把他們惹毛了。

作為企業IT新聞網站，很有趣的，雖然我們報導不少，但是IBM、Oracle、HP、Sun用戶—也就是企業級產品--的留言則數總是相對地少，更遑論那些知名度較低的軟硬體的使用者。

然而最近的一則事件讓我們看到這些沈默／沈潛的使用者紛紛都現身網上表達自己的想法。

星期一美國管理軟體大廠CA在台灣、馬來西亞閃電大裁員，台灣部份由50餘人裁到剩5、6人(一說是2人)員工。星期二CA發出新聞稿，說明所有直銷、經銷業務都交由精誠(原精業)接手，雙方表示將開始通知客戶。星期三CA再次釐清，說CA並沒有關閉台灣分公司，只是改走經銷策略，還有，他們並未收掉在印度的防毒防駭安全R&D中心，也沒有賣給當地業者，而是雙方合作共同經營。

到事情發生第三天，許多用戶一直等不到有人去通知他們，真實情況如何、未來該由誰支援、正在進行中的專案該怎麼走等等，一切CA的動向，用戶似乎都只能從媒體上得知。氣急敗壞又無人聞問的客戶終於上網開罵了：

公司現在則是所有ＣＡ的系統全廢了，已成了垃圾。資訊部門背起執行不力的黑鍋，完全抹殺了資訊人員經常半夜被叫醒的努力，也未思考為何離職率突創新高，也就是沒有功勞，也沒苦勞。--深受其害的客戶之一
大家都同意沒有100分的產品,100分的服務但是最重要的信任與誠信變成零分--困在希望與絕望之間.希望不會變成奢望的承辦人
你說你沒關門! 我說我問不到,沒人支援,問題處理不完只能放在冰箱裡面,因為少用就不會出錯!! 那跟你關門有啥兩樣! --被害慘-火大的CIO

從業務拉主管酒店談生意他們被迫概括承受到系統無法專案失敗害他揹黑鍋，從顧問收費太貴像搶錢到SI能力不足，從外國人欺負台灣人到代理商為虎作倀，從無人聞問到IT人心酸酸。新仇加上舊恨一股腦托出。

或許，IT人有話不輕言，只是未到火大時。

行銷學上有個叫「moment of truth」的名詞，意思是，顧客開罵時往往也是表達最真心想法的時刻。今天的CA只是個案，它的例子足堪許多其他本地或外商軟體公司引以為戒；就像某位讀者所說，會留言的是還抱有期望的客戶，我們認為這也不失為一個好機會讓CA或是更多賌訊廠商可以聽聽用戶的心聲，知道哪些地方有疏失，進而亡羊補牢，採取適當的補救措施。

真實世界與虛擬國度的叛客

背叛？謊言？你的隱私值多少?（上）

資安代理大廠首頁被駭事件隱藏的涵義

Microsoft跟Yahoo打得如火如荼，AOL跟HP悄悄的結成親家

消費者，是你縱容企業洩密嗎？(下)

無線上網 你方便了誰？好人篇

無線上網 你方便了誰？搭錯車篇

網路書店詐騙紀實

網路CSI：證據會說話

Torpark：企業的安全死角

隱形瀏覽器，真能隱形嗎？

追查洩密是企業的尚方寶劍嗎？

擺脫安全的貧富差距

祕密、謊言、社群網站

你是資安的窮人還是富翁？

你知道你的舊手機在哪嗎？

密碼、偷窺、web 2.0(下)

密碼、偷窺、web 2.0(上)

消費者，是你縱容企業洩密嗎？(下)

消費者，是你縱容企業洩密嗎？(上)

無線上網 你方便了誰？好人篇

無線上網 你方便了誰？搭錯車篇

IT人吐露真心話的時刻

無線上網你方便了誰？好人篇

無線上網你方便了誰？搭錯車篇

無線上網你方便了誰？好人篇

無線上網你方便了誰？搭錯車篇